- 95% des demandes d'aide de nos clients sont traités en moins de 2 heures !
- Nous sommes toujours en pleine innovation !
- Nous améliorons sans cesse la qualité de nos services !
Définit le nom du gestionnaire
de session qui est utilisé pour stocker et relire les
données. Par défaut, c'est le système intégré
par fichiers : files. Noter que les
extensions individuelles doivent enregistrer
leurs propres gestionnaires de session. Voir aussi
session_set_save_handler().
Définit le chemin qui doit être passé
au gestionnaire de sauvegarde. Si vous décidez de
choisir le gestionnaire par défaut (par fichiers),
cet argument sera utilisé comme dossier de sauvegarde
des sessions. Voir aussi
session_save_path().
Il y a un argument optionnel N à cette directive qui détermine
la profondeur de répertoires où votre fichier de session sera stocké.
Par exemple, si vous définissez '5;/tmp', votre fichier
sera situé dans /tmp/4/b/1/e/3/sess_4b1e384ad74619bd212e236e52a5a174If.
Si vous voulez utiliser N, vous devez créer
tous ces répertoires avant de les utiliser. Un petit script shell existe dans
ext/session pour réaliser ces créations et il se nomme
mod_files.sh, et sa version Windows porte le nom
mod_files.bat. Notez également que si N
est utilisé et est supérieur à 0, alors la routine automatique gc (garbage collection)
ne sera pas exécutée ; voir une copie de php.ini pour plus d'informations.
Également, si vous utilisez N, assurez-vous d'entourer
session.save_path de "doubles guillemets" car le séparateur
(;) est également utilisé pour les commentaires dans
php.ini.
Avertissement
Si vous laissez cette option configurée avec un dossier
accessible en lecture à tout le monde, comme
/tmp (par défaut), les autres utilisateurs
pourront exploiter ces sessions en obtenant la liste de fichiers
dans ce dossier.
Note:
Avant PHP 4.3.6, les utilisateurs de Windows doivent changer
cette valeur de variable pour que les fonctions de sessions de
PHP fonctionnent. Indiquez un chemin de dossier valide, par
exemple : c:/temp.
Spécifie le nom de la session,
qui sera utilisé comme nom de cookie. Il ne doit contenir que
des caractères alphanumériques. Par défaut, c'est
PHPSESSID.
Voir aussi session_name().
Définit le nom du gestionnaire qui est utilisé pour linéariser et
délinéariser les données. Actuellement, le format interne à PHP
(nommé php ou php_binary)
et WDDX (nommé wddx) sont supportés. WDDX est seulement
disponible, si PHP a été compilé avec l'option
WDDX. Par défaut, c'est php.
Spécifie la probabilité, exprimée en pourcentage, en conjonction de
session.gc_divisor, que la routine gc (garbage collection)
soit démarrée à chaque requête. La valeur par défaut est 1.
Voir session.gc_divisor pour plus de détails.
session.gc_divisor en conjonction avec
session.gc_probability définit la probabilité que la routine gc
(garbage collection) soit démarrée à chaque début de session.
La probabilité est calculée en utilisant gc_probability/gc_divisor, par
exemple 1/100 signifie qu'il y a 1 % de chance pour que la routine gc
démarre à chaque requête. La valeur par défaut est 100.
Spécifie la durée de vie des données sur le serveur, en nombre
de secondes. Après cette durée, les données seront considérées
comme obsolètes, et supprimées. Les données deviennent obsolètes
lors du démarrage de la session.
Note:
Si des scripts différents ont des valeurs différentes de
session.gc_maxlifetime mais partagent le même
endroit pour y stocker les données de session, alors, le script dont la valeur
est la plus petite effacera la donnée. Dans ce cas, utilisez cette directive
conjointement avec session.save_path.
Note:
Si vous utilisez le gestionnaire de sessions par fichier,
qui est fourni par défaut, votre système doit garder la trace des
dates de dernier accès aux fichiers (atime). La FAT de Windows ne le
fait pas, il vous faudra donc trouver un autre système pour gérer
les sessions qui ont expiré. Depuis PHP 4.2.3, on utilise
mtime (date de modification) au lieu de atime.
Ainsi, vous n'aurez plus de souci avec les systèmes de fichiers qui ne gèrent
pas atime.
Contient une sous-chaîne
que vous souhaitez retrouver dans tous les en-têtes HTTP Referer. Si
cet en-tête a été envoyé par le client et que la sous-chaîne n'a pas
été trouvée, l'identifiant de session sera considéré comme invalide.
Par défaut, cette option est une chaîne vide.
Est un chemin jusqu'à
une source externe (un fichier), qui sera utilisée comme source
additionnelle d'entropie pour la création de l'identifiant
de session. Des exemples valides sont /dev/random et
/dev/urandom, qui sont disponibles sur
tous les systèmes Unix.
Spécifie si le module
doit utiliser seulement les cookies
pour stocker les identifiants de sessions du côté du navigateur.
En l'activant, vous éviterez les attaques qui utilisent des
identifiants de sessions dans les URL. Cette configuration a été ajoutée
en PHP 4.3.0.
Par défaut, vaut 1 (activé) depuis PHP 6.0.
Spécifie la durée de vie du cookie en secondes. La valeur de
0 signifie : "Jusqu'à ce que le navigateur soit éteint".
La valeur par défaut est 0. Voir aussi
session_get_cookie_params() et
session_set_cookie_params().
Note:
Le timestamp représentant la durée de vie du cookie est définit
par rapport au temps du serveur, qui n'est pas forcément le même
que le temps du navigateur.
Spécifie le domaine utilisé lors de la création du cookie. Par défaut,
il ne vaut rien, cela signifie que c'est le nom de l'hôte du serveur qui
génère le cookie en accord avec les spécifications sur les cookies.
Voir aussi session_get_cookie_params() et
session_set_cookie_params().
Spécifie que les cookies ne doivent être émis que sur des
connexions sécurisées. Par défaut, cette option est à
off. Cette option a été ajoutée en
PHP 4.0.4.
Voir aussi
session_get_cookie_params() et
session_set_cookie_params().
Marque le cookie pour qu'il ne soit accessible que via le protocole HTTP. Cela signifie
que le cookie ne sera pas accessible par les langage de script, comme Javascript.
Cette configuration permet de limiter les attaques comme les attaques XSS (bien
qu'elle n'est pas supporté par tous les navigateurs).
Spécifie le type de
contrôle de cache utilisé pour les pages avec sessions. Les
valeurs possibles sont :
none, nocache, private, private_no_expire, public. Par défaut, il vaut
nocache.
Voir aussi
session_cache_limiter().
Spécifie la durée de
vie des données de sessions, en minutes. Cette option n'a aucune
conséquence sur le contrôle de cache. Par défaut, il vaut
180 (3 heures).
Voir aussi
session_cache_expire().
Spécifie si le support du SID est transparent ou pas. Par défaut vaut 0
(désactivé).
Note:
En PHP 4.1.2 ou plus ancien, cette option est activée en utilisant
l'option de compilation --enable-trans-sid.
Depuis PHP 4.2.0, cette option est toujours activée.
Le système de gestion des sessions par URL pose un risque
supplémentaire de sécurité : un utilisateur peut envoyer
son URL avec l'identifiant de session par email à un ami,
ou bien le mettre dans ses signets. Cela diffusera alors
l'identifiant de session.
Les versions de PHP antérieures à la version 4.2.3
disposaient d'une
fonctionnalité/bogue non documentée, qui vous permettait
d'initialiser une variable de session dans le contexte global, même si
register_globals
était désactivé. PHP 4.3.0 et plus récent vous préviendra de l'utilisation
de cette fonctionnalité si vous avez aussi activé
session.bug_compat_warn.
Cette fonctionnalité/bogue peut être désactivée en désactivant cette directive.
Les versions de PHP antérieures à la version 4.2.3
disposaient d'une
fonctionnalité/bogue non documentée, qui vous permettait d'initialiser
une variable de session dans le contexte global, même si
register_globals
était désactivé. PHP 4.3.0 et plus récent vous préviendra de l'utilisation
de cette fonctionnalité si vous avez activé
session.bug_compat_42
et session.bug_compat_warn.
session.hash_function
mixed
session.hash_function vous permet de spécifier la fonction
de hachage à utiliser pour générer les identifiants de session. '0' signifie
MD5 (128 bits) et '1' signifie SHA-1 (160 bits).
Depuis PHP 6.0.0, il est également possible de spécifier n'importe
quel algorithme fourni par l'extension hash
(s'il est disponible), comme sha512 ou
whirlpool. Une liste complète d'algorithmes peut être
obtenue avec la fonction hash_algos().
session.hash_bits_per_character vous permet de définir
le nombre de bits utilisés pour chaque caractère lors des conversions des
données binaires en éléments lisibles. Les valeurs possibles sont '4' (0-9,
a-f), '5' (0-9, a-v), et '6' (0-9, a-z, A-Z, "-", ",").
Spécifie quelles sont les balises HTML qui doivent
être réécrites si le support transparent du SID
est activé. Par défaut, il vaut
a=href,area=href,frame=src,input=src,form=fakeentry,fieldset=.
Note:
Si vous voulez vous conformer aux spécifications HTML/XHTML strictes, supprimez l'entrée
form et utilisez le tag <fieldset> autour de votre balise
form.
Les options track_vars et
register_globals
influencent le comportement des sessions, leur stockage et leur restauration.
Note:
Depuis PHP 4.0.3, track_vars est
toujours activé.
